紧急补丁解决MS Exchange Server零天
使用本地版本的Microsoft Exchange Server的组织面临有针对性攻击的风险,利用三个新披露的零点漏洞,这些零点漏洞已经被与中国国家相关的恶意演员所利用。
三个漏洞,分配CVE-2021-26855,CVE-2021-26857,CVE-2021-26858和CVE-2021-27065使威胁参与者能够访问受害者电子邮件帐户并安装恶意软件以获得对其更广泛的环境的长期访问。根据微软的威胁情报中心(MSTIC),该活动归因于称为铪的群体的高度信心。
铪高级持久威胁(APT)集团主要是美国的针对组织,而过去已打击医学研究组织,律师事务所,大学,国防承包商,政策智库和非政府组织(非政府组织)。虽然中国为基础,但它来自位于美国的租用虚拟私人服务器(VPS)基础设施。
它之前,使用合法开源框架 - 例如CONDONT和CONTROL(C2),它已经通过互联网服务器中的漏洞损害了受害者。在受害者的网络中,铪通常会将数据终止到文件共享站点。
迄今为止,铪是我们看到使用这些漏洞的主要演员,“微软的客户安全和信托,汤姆伯特,在一个博客文章中。
“攻击包括三个步骤。首先,它将使用被盗的密码或使用先前未被发白的漏洞来获取交换服务器,以伪装自己作为应该访问的人。其次,它会创建所谓的Web shell以远程控制受阻机服务器。第三,它将使用该远程访问 - 从基于美国的私人服务器运行 - 从组织网络中窃取数据。
“我们专注于保护客户免受用于执行这些攻击的漏洞,”伯特说。“今天,Wereleared Security Updatesthat将保护客户运行Exchange Server。我们强烈建议所有Exchange Server客户立即应用这些更新。
“Exchange Server主要由商业客户使用,我们没有证据表明Hafnium的活动算是唯一的消费者或这些利用影响其他Microsoft产品。”
“尽管我们迅速努力部署铪爆炸的更新,我们知道许多国家行动者和犯罪集团将迅速移动,以利用任何未被划分的系统。及时应用今天的补丁是对此攻击的最佳保护,“他补充道。
Fireeye Mandiant高级副总裁兼首席技术官Charles Carmakal说:“Fireeye已经观察到这些脆弱性在野外被剥削,我们正在积极与几个受影响的组织合作。除了尽快修补外,我们建议组织还审查他们的系统,以便在部署补丁之前可能发生的利用的证据。“
Sydnam Narang,职员研究工程师,Tenable,Microsoft选择赶紧冲出带外的补丁,而不是等3月的补丁周二下降,建议漏洞非常危险。
“基于我们所知道的到目前为止,利用四种漏洞之一需要任何身份验证,并且可以用于从目标用户邮箱下载消息。哈兰说,可以通过一名坚定的威胁演员将其他脆弱性联合在一起,以促进目标组织网络的进一步妥协。“
“我们预计其他威胁演员在未来几天和几周内开始利用这些漏洞,这就是为什么对使用Exchange Server立即应用这些补丁的组织来说至关重要。”
他还注意到ESET研究,这表明除铪之外还有许多其他APT群体在全球范围内利用脆弱性。
四个CVES工作如下:-26855是一个服务器端请求漏洞,允许攻击者发送任意HTTP请求并验证为Exchange Server; -26857是统一消息服务中的不安全的解序漏洞,它允许攻击者在Exchange服务器上运行代码作为系统,并且需要管理权限或其他漏洞;最后,-26858和-27065都是后期验证任意文件写漏洞,让攻击者将文件写入服务器上的任何路径,它们可以通过它进行身份验证,例如通过利用-26855或使用盗窃凭据。
通过这些漏洞获得访问权限之后,Hafnium将在受妥协的服务器上部署Web Shell以窃取数据并执行进一步的恶意操作。
微软指出,在沃克尼索和Dubex的安全团队的协助下,他报告了攻击链的不同元素,并协助更广泛的调查。“这是积极主动的沟通和情报分担的水平,让社区聚集在一起,以便在他们传播和改善所有人之前进入攻击,”微软表示。
下一步
Microsoft Exchange Server攻击:我们到目前为止所知道的